恶意软件反检测技术简介（上）

恶意软件是一种招人恨的代码，因为它们专干坏事，如泄漏个人隐私、造成数据丢失，等等。而杀毒软件公司则不断想办法检测并阻止恶意软件。如此一来，猫和老鼠的大戏从此开演了。一般来说，杀毒软件要想防御某种恶意软件需要经过以下过程：收集到样本，分析样本，升级病毒库，之后杀毒软件才能够识别该恶意软件。而反检测技术，就是在恶意软件的分析阶段设置障碍，让分析人员无法或难以对恶意代码进行分析，这主要包括两类技术，一种是反调试技术，一种是反仿真技术，或叫做反虚拟执行技术。

无论是处于分析恶意软件的目的，还是防止软件被分析的目的，了解恶意软件常用的反检测手段都是很有必要的，而本文的目的就是在于，向读者们介绍目前的反调试和反仿真技术，并提供代码样本，以供读者在识别恶意代码时作为练手之用。

一、引言

病毒作者使用反调试与反仿真技术的目的在于为逆向分析恶意软件制造障碍，理想的情况下是使得逆向工程师无法分析恶意软件，退一步讲即使可以分析也会让分析过程更为缓慢。当病毒在一个仿真器或调试器中运行时，这些技术会使逆向工程过程变得举步维艰，他们企图以此逃避检查。恶意代码可以利用多种不同的方法来“忽悠”动态检测和其他如仿真器和调试器之类的分析机制，通常情况下每种病毒都会采用其中的一种甚至多种。

对于这些病毒作者用于使对病毒的逆向过程变缓的方法，本文将分别进行讲解，并为它们提供了示例。本文会概述各种反调试与反仿真技术，以使得读者对它们有所了解。下面我们开始介绍反仿真技术。

二、反仿真技术

仿真器为人们提供了一个受限制的环境（即安装在主机操作系统之上的操作系统的映像），我们可以在这个环境中动态地分析程序。例如，一台运行Linux操作系统的机器可以在其虚拟机上安装并运行Windows XP系统。一个仿真器也将包括对CPU和内存的仿真，以及其它硬件的仿真，还有控制器的仿真。这为我们提供了一种安全的方式来动态地分析程序，因为这种环境下，无论做什么都不会对底层的操作系统造成损害。